探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.035

细读《网络数据安全管理条例》之

责任主体及监管结构分析篇

▽

写在开始

2024年9月30日，国务院正式发布《网络数据安全管理条例》（“《条例》”），自2025年1月1日起正式施行。司法部、国家网信办负责人就条例进行答记者问，属于官方的政策解读。此外，很多律师、法务同学国庆期间加班加点，陆续出了很多专业配套文章。个人期间没安排学习，一个原因是想“刻意”停下来，毕竟是偏IT和数据安全的从业者，对法条的理解存在偏差。也想换个思路，当成一次“纯条文”的学习，尽量保持一定的独立性。

图1：国务院政策文件《网络数据安全管理条例》

学习《条例》的目标

现在数据领域、网络和数据安全领域的法律法规、标准规范如雨后春笋般发布，文件数量完全处于应接不暇的状态，因此对重要法律及标准规范，个人层面需要掌握一个普适性的学习方法。

表1：近期数据和数据安全相关法规政策、标准

在2021年《数据安全法》正式出来之前，从安全管理部门视角牵头做过一版工作解读，积累了一定的经验。比如从法条中识别出哪些是紧迫重要工作？哪些是对企业安全有促进工作？这些合规要求和当前企业实际情况进行差距分析，以此确定后续重点工作推进方向。

因为一直参与企业安全管理及项目安全实施，清楚地认识到两个问题：首先，将法律条文转化为企业合规的过程相当漫长。其次，将企业的安全管理条例落实到具体项目的执行中，尤其是在信息系统的日常运作与维护中，这之间的距离更是遥远。

一直在思考一个问题：

对于非法律专业人士来说，是否有合适的方法去理解法律法规，并转化为企业实际需要执行的任务？

想借这次《条例》的学习，设定三个目标：

深入理解《条例》内容：对照原文认认真真学习《条例》，把其中内容进行“拆解和扩充”。
总结学习法律法规的方法：参照相应步骤，对于我们广大非法律专业的同学，也能把条文“读明白”，并将其要求转化为企业实际需要执行的工作事项。
制定企业落地工作清单：依据《条例》中主要责任主体整理一份企业落地工作项清单。将结合企业实际，梳理出企业必须履行的合规工作，以及对企业安全长期有促进但是紧迫不高的工作，供大家参考。

安全视角学习《条例》的方法

作为数据安全从业者角度，当成一次“试验性学习”，记录学习过程并输出配套工作清单，大致思路如下:

1.纸质原文+一支笔：拿出笔和纸反复多遍的阅读和做笔记，把《条例》当成一个纯专业类的文章，用“语文阅读理解”方式，一章一节一句一词的方式阅读《条例》。

2.用框架性思维：把《条例》的所有主体对象找出来，看看这些主体之间关系，其中有些直接关系，有些间接关系。通俗讲就是把各个责任主体找出来，看看对他们各自要求。

3.延伸、扩展和补充：在阅读《条例》遇到不懂的名词时，停下来检索相关知识，把它们属于进行具像化。通过扩展查阅资料，把条文的每个内容逐步丰富起来，对《条例》的理解会变得立体化。

4.电子化整理：通知纸质学习后是为了更加熟悉，最后需要把这些内容进行电子化，比如用Excel逐条记录信息，然后画出整个《条例》的框架图。

5.切换视角、分类整理：接下来换一些视角重看，对内容进行重组和二次整理，比如梳理监管部门的职责和要求，分别数据处理者需要建立哪些制度、建设哪些能力等问题。

6.外部关联关系：之前第1-5步都是《条例》本身学习，接下来需要把《条例》和其他法律规范的衔接和区别找出来。比如《条例》与《网络安全法》、《数据安全法》区别等，比如某项专业工作上的关联，《条例》中网络数据出境管理和数据出境安全的不同。

7.学习《条例》的出台背景：学习国家官方的解读，行业专家的理解。如对《条例》的出台背景，更加细节地学习内容。

经过上述动作和方法，将对《条例》有一个深刻的理解。不仅如此，这种深入的学习还能帮助你洞察行业趋势，从而在企业实践中做出前瞻性的工作方向调整。

《条例》的整体框架

图2：《网络数据安全管理条例》整体框架

《条例》全文九章64条，为了规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。

总体上明确了网络数据处理者的责任，强化了个人信息和重要数据的保护，规定了数据跨境流动的安全要求，设定了网络平台服务提供者的义务，并确定了监督管理和法律责任。

《条例》中的主体对象有哪些？

通过细致阅读《条例》识别出涉及的主体对象，对于理解各自的责任和义务至关重要。这有助于我们分析出哪些主体需要落实执行、哪些主体需要进行监督管理，以及他们是主动执行还是被动执行。经过整理后，可分成四类：个人和组织层面、处理者层面、服务提供者层面、国家监督管理层面，如下：

（一）个人和组织层面

表2：个人和组织层面的主体对象

（二）处理者层面

表3：处理者层面的主体对象

（三）服务提供者层面

表4：服务提供者层面的主体对象

（四）国家监督管理层面

表5：国家监督管理层面的主体对象

《条例》监管职责分析

该《条例》是在《网络安全法》、《数据安全法》、《个人信息保护法》等上位法的基础上制定的，对上位法中对相关制度规定予以细化、补充、完善，为网络数据处理者提供了更为明确的操作指引。

（一）《条例》的监督管理职责

关于网络数据的监督管理，从《条例》第七章第四十七条到第五十四条进行整体阐述，可参考如下示意图：

图3：条例监督职责参考示意图

相关职责描述见下图：

图4：《网数条例》监管体系

（二）三部上位法的监督管理职责

1.《网络安全法》

图5：《网络安全法》监管体系

2.《数据安全法》

图6：《数据安全法》监管体系

3.《个人信息保护法》

图7：《个人信息保护法》监管体系

（三）简要总结分析

（1）《条例》范围聚焦网络数据

《条例》聚焦“网络数据”，即“指通过网络处理和产生的各种电子数据”，这意味着《条例》主要针对电子形式的数据，而不包括纸质或非电子化的数据，分析如下：

在第一章总则、第二章一般规定、第五章网络数据跨境安全管理、第六章网络平台服务提供者义务、第七章监督管理中，基本所有范围都限定在网络数据层面。

在第三章个人信息保护和第五章的重要数据安全则分别对个人信息和重要数据提出安全要求，但也聚焦到网络数据处理者处理这些信息时，需要承担的安全责任。

（2）国家数据部门的理解

在监督管理方面引入一个新部门，即国家数据管理部门，应该就是国家数据局，统筹数据层面的管理。类比企业管理，数据管理部门像企业中的数据业务部门，管理业务的同时也需要关注安全的责任和义务，和国家网信部门进行协同操作。

此外，《条例》中“各地区、各部门”类似企业中的数据使用部门，对数据相关处理活动需要承担相关数据安全保护义务。

图8：国家数据局相关职责示例

📖扩展：国家数据局

国家数据局是中国新成立的负责数据管理的国家级机构，于2023年10月25日正式揭牌成立，由国家发展和改革委员会管理。国家数据局的主要职责包括协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。中央网络安全和信息化委员办公室部门职责划入。国家数据局下设五个司局，分别为综合司、政策规划司、数据资源司、数字经济司、数字科技和基础设施建设司。

（3）关于国家数据安全协调机制

国家数据安全工作协调机制在《条例》第二十九条、第三十二条有相关描述，主要聚焦重要数据方面（非重要网络数据），负责统筹协调有关部门制定重要数据目录，加强对重要数据的保护，接收重要数据处理者特殊情况处置方案等。

简要总结：本文作为《网络数据安全管理条例》学习的第一篇，主要目的是为大家提供一个关于如何学习该《条例》的总体思路。文章提炼了近40个主体对象，并对它们的责任义务、监管职责等进行了整理、分析和对比。随着数据要素的兴起和国家数据局的成立，数据安全从业人员需要不仅在安全领域有所了解，还需要更多地接触数据、业务和合规领域的知识，才能更好做好数据安全工作。后续文章将对主要主体对象梳理出对应的工作清单，并对条文中涉及的抽象概念进行具像化，以便于与实际工作相结合。

*声明：本文内容基于作者个人从IT和安全视角对《网数条例》的学习体会，不代表任何官方立场。文章内容仅供参考，具体《条例》的解释和实施应遵循官方规定。

本文作者 | Smart

文章编辑 | 合规社郑烨

「数据守望」专栏合集

No.016